認証コード2024なしでFacebookアカウントをハッキングする方法?

認証コード 2024 を使用せずに Facebook アカウントをハッキングする方法は?

閱讀全文
请先 登录 后评论
  • 1 フォロー
  • 0 集める 36 浏覽
  • ユーザー に質問しました 2024-01-22 22:31:45

1 回答

厚德載物
擅長:AI

セキュリティ研究者が Facebook にパスワード リセットの脆弱性を発見しました。これは、あらゆる Facebook アカウントにブルート フォース攻撃ができることを意味します。


セキュリティ研究者のアナンド・プラカシュ氏は、Facebookに影響を及ぼすパスワードリセットの脆弱性を発見した。 この重大なセキュリティ上の欠陥は、攻撃者がブルート フォース攻撃によって Facebook アカウントを侵害するために悪用される可能性があります。


「このブログ投稿では、ユーザーの介入なしに他のユーザーの Facebook アカウントをハッキングするために Facebook 上で悪用された可能性のある単純な脆弱性を調査します。新しいパスワードを設定することで、他のユーザーのアカウントに完全にアクセスすることができました。そのメッセージ、支払いオプションはクレジット/デビット カード、個人の写真などにリンクされています。Facebook はこの問題の存在を認め、適時に修正し、脆弱性の重大度と影響に基づいて 15,000 ドルの報奨金を提供しました。」研究者はブログ投稿で述べた。


この重大な欠陥は、Facebook のベータページでの「パスワードを忘れた場合」のリクエストに起因します。 ユーザーがパスワードを忘れた場合、Facebook では「パスワードを忘れた場合」プロセスを通じてアカウントを回復できるようにしています。 Facebook は、6 桁の確認コードをユーザーの携帯電話または電子メール アドレスに送信します。 ウィンドウに確認コードを入力すると、誰もが自分の Facebook アカウントにアクセスし、パスワードをリセットできるようになります。


次に、ユーザーは確認コードを送信して Facebook アカウントにアクセスし、パスワードをリセットします。


Prakash 氏は、前述した Facebook のパスワード忘れプロセスにおけるセキュリティ ホールを見つけようとしました。 彼は、「パスワードを忘れた場合」ウィンドウの 6 桁の数字をブルート フォースで入力しようとしたところ、Facebook がユーザーにアカウントをロックするまで 12 回の試行を許可していることを発見しました。




その後、Prakash は Facebook のベータ テスト ページ、つまり beta.facebook.com と mbasic.beta.facebook.com でそれを試しました。 彼は最終的に、Facebook の 2 つのベータ テスト ページでは試行回数が制限されていないことを発見しました。 制限がないため、研究者はあらゆる Facebook アカウントに対してブルート フォース攻撃を開始することができました。


研究者はセキュリティ上の脆弱性について次のように説明しました。


POST /recover/as/code/ HTTP/1.1 ホスト: beta.facebook.comlsd=AVoywo13&n=XXXXX


「n」値の解読に成功すると、Prakash は Facebook ユーザーの新しいパスワードを作成できるようになりました。


Prakash 氏は 2016 年 2 月 22 日に Facebook にこの脆弱性を報告し、Facebook のセキュリティ チームはこの脆弱性を認識し、2 月 23 日に修正しました。

请先 登录 后评论